GDPR Privacy
Con questa nuova collana di articoli denominata “Road to GDPR Compliance”, affronteremo i principi e le tematiche più importanti della normativa privacy europea, per comprendere -anche con esempi concreti- cosa devono fare le aziende per conformarsi ad essa.
In questa prima parte ci soffermeremo su due principi cardine: il principio di accountability e l’approccio risk-based che permea l’intera normativa.
Prima, però, una breve premessa.
Il percorso legislativo di adozione del GDPR è iniziato ormai qualche anno fa, già il 4 novembre 2010, quando la Commissione europea ha elaborato una proposta di riforma della normativa in materia di protezione dei dati personali con i seguenti obiettivi:
Il GDPR è entrato in vigore il 24 maggio 2016 ed è diventato direttamente applicabile in tutti gli stati dell’Unione Europea a partire dal 25 maggio 2018, trattandosi appunto di un Regolamento Europeo.
Il GDPR, infatti, non dice “cosa fare”, non contiene una serie di prescrizioni da attuare, ma obiettivi da raggiungere, risultati da perseguire, principi da rispettare, applicando gli strumenti che si ritengono più opportuni in un determinato contesto.
Viene introdotto un nuovo approccio metodologico, risk-based, basato sulla protezione dei dati dell’utente e sull’effettivo rischio per ogni azienda.
La protezione dei dati personali deve essere, pertanto, calata all’interno dei processi e dell’organizzazione aziendale, non più come elemento/adempimento successivo, ma presupposto da considerare già nella fase di progettazione dei processi, servizi, prodotti o applicativi (c.d. «privacy by design» – se vuoi approfondire leggi qui trovi un nostro approfondimento).
Nella sostanza, si passa da un sistema di tipo formalistico (basato sulla previsione di regole formali e su un elenco di adempimenti e misure minime da adottare), ad un sistema di governance dei dati personali basato su un’alta responsabilizzazione sostanziale («accountability») del titolare del trattamento.
A questi è richiesta proattività, cioè di prevenire e non correggere, nonché di dimostrare, tramite l’elaborazione di un idoneo sistema documentale di gestione della privacy (che includa l’adozione di specifici modelli organizzativi, analoghi a quelli utilizzati nell’applicazione della 231, e di appropriate policy interne, da esibire in caso di richiesta da parte dell’Autorità), la conformità al GDPR e l’adeguatezza delle proprie scelte e valutazioni.
I dati sulle sanzioni per violazioni di dati personali mostrano un netto incremento negli ultimi anni dopo l'applicazione del GDPR (da Maggio 2018)
La maggiore discrezionalità per i titolari di decidere le modalità attraverso le quali conformarsi alle sue disposizioni è gravata dall’onere di essere in grado di dimostrare le ragioni che hanno portato a tali decisioni e le motivazioni alla base delle scelte
Il titolare deve adottare appropriate policy interne (da esibire in caso di richiesta da parte dell’Autorità) ed attuare un complesso di misure giuridiche, organizzative, tecniche per la protezione dei dati personali, elaborare un idoneo sistema documentale di gestione della privacy (che includa l’adozione di specifici modelli organizzativi, analoghi a quelli utilizzati nell’applicazione della 231), in grado di dimostrare la conformità al GDPR e l’adeguatezza delle proprie scelte/valutazioni.
Il Titolare deve quindi mette in atto misure tecniche ed organizzative adeguate (riesaminate ed aggiornate qualora necessario) per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR (art. 24 GDPR).
Sarà per esempio necessario essere in grado di documentare il processo che ha portato alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati una violazione dei loro dati personali, di aver effettuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla privacy «by design».
Il titolare è quindi responsabile del rispetto dei principi privacy e deve essere in grado di dimostrarlo. Quest’ultimo, infatti, tenuto conto della natura, dell’ambito, del contesto, delle finalità e dei rischi connessi al trattamento, deve mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR. Insomma ritorna il tema del rischio: dobbiamo tenere conto del contesto in cui operiamo e dei dati che trattiamo, pertanto i controlli che ne derivano saranno commisurati ad quello specifico rischio.
Ciò implica anche l’adozione di un sistema di gestione della data protection che consenta di gestire nel tempo la compliance. L’azienda non può limitarsi ad una prima attività di adeguamento senza mettere in campo risorse per monitorare e ad aggiornare quanto necessario nel corso del tempo.
Si pensi soltanto al cambiamento di un fornitore per le telecamere di sorveglianza, oppure l’attivazione di una nuova campagna di marketing verso i propri clienti consumatori o anche la pubblicazione di un sito con nuove funzionalità. L’azienda cambia e con essa anche il proprio sistema di gestione dei dati personali.
A partire dal 15 Luglio 2023, per le grandi aziende (oltre i 250 dipendenti), e poi entro fine anno per le PMI (da 50 a 250 dipendenti), si applicherà il decreto legislativo che ha recepito la nuova direttiva UE n. 2019/1937 in materia di Whistleblowing.
Le attività richieste obbligatoriamente per conformarsi alla normativa Whistleblowing sono un chiaro esempio dei principi enunciati in precedenza, primo fra tutti quello di accountability.
Per ottemperare ad esempio sarà certamente necessario:
Abbiamo quindi elencato alcune delle misure tecniche e organizzative necessarie per essere conformi alla normativa whistleblowing, ma allo stesso utili per dimostrare a terzi la nostra conformità tramite documentazioni e valutazioni del rischio che rendicontano le nostre scelte. Ed è proprio questo il significato di risk management e di accountability.
Articoli correlati